Report

Report DLA Piper: 2023, anno record per l’importo delle sanzioni ai sensi del GDPR

Le dieci sanzioni più elevate di sempre sono state inflitte a social media e big tech. Negli ultimi 12 mesi resta stabile il numero di notifiche di data breach, con una media di 335 notifiche di violazione al giorno rispetto alle 328 dell’anno precedente, per un totale di 1,78 miliardi di euro (+14% rispetto all’anno precedente)

Pubblicato il 16 Feb 2024

Pierluigi Sandonnini

giornalista

Lo studio legale internazionale DLA Piper ha pubblicato i risultati della sua indagine annuale sull’andamento delle sanzioni emesse ai sensi del GDPR e delle notifiche di data breach. L’indagine, condotta in tutta Europa, ha rivelato un altro anno record, con un importo totale delle sanzioni GDPR emesse dal 28 gennaio 2023 a oggi pari a 1,78 miliardi di euro, con un aumento del 14% rispetto all’anno precedente. È quanto emerge dal report “DLA Piper GDPR fines and data breach survey: January 2024”, giunto quest’anno alla sesta edizione e presentato ieri durante un evento online organizzato dallo studio legale. Si tratta di un incremento più contenuto rispetto al 50% registrato lo scorso anno, dovuto principalmente a una serie di ricorsi accolti in varie giurisdizioni, che hanno visto le sanzioni ridotte o in alcuni casi annullate, nonché a un minor numero di sanzioni emesse dalle autorità europee per la protezione dei dati a seguito di pareri e decisioni vincolanti del Comitato europeo per la protezione dei dati (EDPB).

Irlanda al primo posto per sanzioni GDPR emesse

In termini di valore delle sanzioni emesse, l’Irlanda si conferma al primo posto (2,86 miliardi di euro dall’entrata in vigore del GDPR) e conquista il primo posto anche per la multa più ingente, con una sanzione di 1,2 miliardi di euro imposta a Meta Platform Ireland Limited nel maggio 2023. Il dato non sorprende alla luce del fatto che l’Irlanda è tra i Paesi favoriti dalle aziende del settore tecnologico per la costituzione della loro sede principale nell’UE, ma procedimenti in questo settore per presunti trasferimenti illeciti di dati personali si sono registrati anche in altre giurisdizioni UE.

WHITEPAPER
Abilitazione al cloud: migrazione, gestione delle applicazioni e sicurezza. Rendi più potente l'IT
Cloud storage
Cloud application

Il Lussemburgo si posiziona al secondo posto con 746 milioni di euro totali, seguito dalla Francia a quota 546 milioni di euro. In questa classifica l’Italia si trova al quarto posto, con 145 milioni di euro di sanzioni emesse dal 25 maggio 2018 a oggi.

Le notifiche di data breach

Per quanto riguarda le notifiche di data breach, in linea con il trend degli ultimi due anni, negli ultimi 12 mesi si sono registrate in media 335 notifiche di violazione al giorno, rispetto alle 328 dello stesso periodo dell’anno precedente. La Germania, i Paesi Bassi e la Polonia hanno riportato il maggior numero di casi totali, rispettivamente con 32.030, 20.235 e 14.167 notifiche. La Danimarca è invece in cima alla classifica per il numero di notifiche di violazioni in rapporto alla popolazione (203 casi ogni 100.000 abitanti).

Commentando l’indagine, Giulio Coraggio, partner responsabile del dipartimento Intellectual Property and Technology di DLA Piper in Italia, ha dichiarato: “I social media e le big tech rimangono il bersaglio principale delle sanzioni GDPR più elevate emesse dalle autorità per la protezione dei dati personali. Questo dato non va letto nel senso che unicamente tali aziende sono nel mirino dei garanti privacy europei perché in Italia le sanzioni sono state emesse in numero decisamente superiore da un punto di vista quantitativo rispetto a Paesi come l’Irlanda; l’importo complessivo più ridotto è dovuto unicamente dall’enorme fatturato delle aziende che hanno sede in Irlanda. Il Garante privacy italiano è stato ad esempio tra i più attivi nei provvedimenti relativi all’utilizzo dell’intelligenza artificiale. Ci aspettiamo che le problematiche privacy dell’AI e delle responsabilità da cyber attacco saranno gli argomenti più caldi su cui il Garante si concentrerà nel 2024. Quindi le aziende devono essere preparate perché il costo di eventuali sanzioni potrebbe essere elevato”.

Nota metodologica

L’indagine di DLA Piper copre tutti i 27 Stati membri dell’Unione europea, più Regno Unito, Norvegia, Islanda e Liechtenstein. Non tutte le giurisdizioni pubblicano i dettagli delle sanzioni GDPR emesse. È pertanto possibile che siano state emesse più sanzioni rispetto a quelle oggetto dell’indagine. Non tutti gli Stati membri dello Spazio economico europeo rendono disponibili al pubblico i dettagli delle statistiche di notifica dei data breach. Alcuni hanno fornito dati incompleti o relativi a una parte del periodo coperto dalla presente ricerca, quindi le cifre sono state arrotondate e in alcuni casi estrapolate per fornire le migliori approssimazioni. Il tasso di cambio utilizzato nell’indagine è pari a EUR 1 = USD 1,09 / GBP 0,87.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Pierluigi Sandonnini
giornalista

giornalista

Articolo 1 di 5